Vous avez subi une attaque ?
|
Assistance
|
Contactez-nous
|
+1 855 426 3983
Blog
/
Cyber-résilience

De "Êtes-vous protégé ?" à "Pouvez-vous fonctionner ?" Pourquoi les régulateurs veulent de la résilience, pas seulement des contrôles

Raghu Nandakumara
Vice-président, stratégie industrielle
Illumio Editorial
Février 25, 2026
23 min. lire
Photo de Phil Park
Phil Park, responsable de la cybersécurité des services financiers chez IBM

Pendant des années, les institutions financières se sont préparées aux contrôles prudentiels comme les étudiants se préparent aux examens. Les équipes ont rassemblé des documents, mis en correspondance les contrôles avec les cadres et vérifié chaque élément de la liste.

Les régulateurs ont posé une question simple : êtes-vous protégé ?

Lors de ma récente conversation avec Phil Park, cette question m'a semblé dépassée.

Phil conseille les institutions financières en matière de cybersécurité et de risques réglementaires depuis plus de 25 ans. Il a travaillé avec des clients au début de la loi Sarbanes-Oxley et les guide aujourd'hui dans le cadre de mandats de résilience opérationnelle à l'échelle mondiale.  

Dans ses fonctions actuelles chez IBM, il aide les grandes banques aux États-Unis, en Europe et en Asie à gérer la pression des autorités de surveillance et les risques liés aux nouvelles technologies.

Il a vu les attentes évoluer au fil du temps. Il estime que nous nous trouvons aujourd'hui à un tournant décisif.

Les autorités de surveillance mondiales ne se concentrent plus uniquement sur les contrôles. Ils attendent une résilience opérationnelle. Les régulateurs ne s'arrêtent pas à la preuve de l'existence de politiques et de garanties. Ils veulent des preuves de votre capacité à absorber les perturbations, à contenir les incidents et à assurer le fonctionnement des services essentiels dans des conditions de stress.

Comme l'a expliqué Phil, réussir ne signifie plus passer un audit. Cela signifie que votre entreprise continue à fonctionner lorsque les contrôles sont défaillants.

La fin de l'ère des listes de contrôle de conformité

Il y a dix ou quinze ans, la plupart des programmes de cybersécurité et de risque opérationnel se concentraient sur la couverture des contrôles. Si votre équipe a mis en place des mesures de protection, des politiques claires et un programme mûr, les autorités de régulation vous considèrent comme prêt.

Au fil du temps, cette norme a changé. Les régulateurs ont observé le déroulement d'incidents réels et ont constaté que les contrôles sur papier échouent souvent sous la pression.

Le changement le plus important a été le passage de la question "Sommes-nous protégés ?" à la question "Pouvons-nous fonctionner en cas de perturbation ? a déclaré Phil.

Les attaquants ont frappé le secteur financier avec des ransomwares, des pannes de tiers, des mauvaises configurations du cloud et des compromissions de la chaîne d'approvisionnement. De nombreux établissements concernés ont respecté les exigences de conformité. Ils ont passé les audits et coché les cases.

Les services n'ont toujours pas fonctionné. Les clients ont ressenti les perturbations et les actionnaires ont perdu confiance.

Ces événements ont modifié les attentes en matière de réglementation. Les cadres tels que la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA) partent du principe que des cyberincidents se produiront. Les régulateurs ne se demandent plus si vous pouvez prévenir les attaques en théorie. Ils vous demandent si vous pouvez prouver la résilience dans la pratique.

Phil a décrit ce changement comme le passage d'une évaluation statique à une évaluation dynamique. Les régulateurs ne se contentent plus de vérifier la présence de contrôles. Ils examinent comment les contrôles fonctionnent dans des scénarios réels et comment les dirigeants agissent en cas de défaillance des systèmes.

En cas de perturbation, la technologie n'est pas le seul critère à prendre en compte

Phil a clarifié un point. Les régulateurs modernes vont au-delà des contrôles techniques.

"Les régulateurs recherchent moins la perfection parce qu'ils savent qu'elle est impossible", a déclaré M. Phil. "Ce qui leur importe le plus, c'est la qualité de la réponse en cas de problème.

Lorsqu'un incident se produit, les autorités de régulation étudient la façon dont vous réagissez en temps réel. Ils examinent :

  • La rapidité et la clarté avec lesquelles les équipes font remonter le problème
  • L'alignement des dirigeants sur les décisions clés
  • Si les silos ralentissent la coordination
  • La qualité de votre communication avec les régulateurs, les clients et le conseil d'administration
  • Si vous comprenez les dépendances des services critiques

La résilience ne repose pas uniquement sur les pare-feu ou les outils de détection. Cela se voit dans la façon dont votre entreprise agit en cas d'incident de sécurité.

Vous disposez peut-être d'un plan d'intervention détaillé en cas d'incident. Mais les lacunes apparaissent rapidement si une personne contrôle l'escalade.  

Les problèmes s'aggravent si les équipes juridiques et de sécurité s'opposent pendant une crise. Les retards augmentent lorsque les équipes se disputent sur les niveaux de gravité au lieu d'agir.

Les régulateurs n'attendent plus la perfection. Ils savent que des violations se produiront. Ce qu'ils jugent, c'est la façon dont vous vous comportez en situation de stress.

L'examen réglementaire se déplace des contrôles vers les résultats

À l'époque de la conformité, la narration avait du poids. Si vous décrivez clairement vos contrôles de sécurité et faites preuve d'une gouvernance structurée, les régulateurs sont souvent satisfaits.

Cette norme a changé.

"La principale lacune que je constate est que de nombreuses entreprises s'appuient sur les cadres et les cartes thermiques, alors que les autorités de contrôle réglementaire veulent voir des actions et des résultats", a déclaré M. Phil.

Il a souligné que les preuves l'emportent désormais sur les explications. Les superviseurs vous demandent de fournir des preuves tangibles, notamment :

  • Résultats des tests de scénarios et des exercices de simulation
  • Les enregistrements des perturbations passées et les mesures que vous avez prises pour y remédier
  • Preuve que les processus de basculement fonctionnent comme prévu
  • Traçabilité en temps réel entre les services critiques et les systèmes qui les soutiennent

Vous ne pouvez plus affirmer qu'un plan existe. Vous devez montrer que vous l'avez testé et amélioré sur la base des enseignements tirés.

Dans la pratique, des exercices réalistes mettent en évidence de nombreuses lacunes en matière de résilience. Les hypothèses échouent. Les cartes de services ne tiennent pas compte des dépendances essentielles. Les voies d'escalade révèlent les goulets d'étranglement décisionnels.

Les régulateurs considèrent souvent ces résultats comme des signes de maturité et non de faiblesse. Ils attendent de vous que vous admettiez vos lacunes et que vous les corrigiez rapidement.

Le fardeau de la déclaration s'alourdit et s'accélère

Au-delà de la résilience opérationnelle, vous devez signaler les incidents de sécurité.

Aux États-Unis, les institutions financières répondent aux régulateurs bancaires fédéraux, aux autorités des États, aux règles de divulgation de la Securities and Exchange Commission (SEC) et aux orientations sectorielles. En Europe, le DORA fixe des délais stricts pour la notification des incidents majeurs liés aux technologies de l'information et de la communication (TIC).

Vous ne pouvez pas attendre une crise pour planifier votre réponse. Vous devez intégrer le reporting dans la gouvernance, les flux de travail et les voies d'escalade avant qu'un incident ne se produise.

Les organisations qui gèrent bien cette question créent des guides de reporting clairs. Ils testent les protocoles de communication et veillent à ce que la documentation soit facilement accessible. Ils assurent la coordination entre les équipes juridiques, de cybersécurité, de conformité et de gestion des risques, sans délai ni confusion.

Vous ne pouvez pas rassembler des faits au milieu d'un incident actif et espérer qu'ils soient exacts. Les régulateurs attendent des rapports rapides, cohérents et précis. Ils s'attendent également à ce que votre compte reste aligné dans toutes les juridictions, même lorsque plusieurs autorités examinent le même événement.

IA : nouveaux outils, même discipline

L'IA ajoute de nouveaux risques aux environnements modernes.

Les acteurs de la menace utilisent déjà l'IA pour créer des campagnes d'ingénierie sociale plus convaincantes et automatiser les logiciels malveillants à grande échelle. Dans le même temps, de nombreuses organisations intègrent des agents d'IA dans des opérations commerciales critiques.

M. Phil a rappelé que les principaux défis en matière de sécurité restent les mêmes. De nombreuses entreprises déploient des plateformes d'IA sans une gouvernance claire, des contrôles d'identité solides ou une visibilité totale sur les actifs et les flux de données.

L'IA ne remplace pas les principes fondamentaux de la sécurité. Dans de nombreux cas, elle amplifie la faiblesse des contrôles et le manque de clarté de l'actionnariat.

L'adoption rapide de l'IA rend la discipline opérationnelle de base plus importante que jamais.

Que signifie aujourd'hui "réussir" la mise en conformité dans le secteur financier ?

Cette nouvelle ère de supervision apporte une dure vérité. Il n'y a pas de ligne d'arrivée claire.

Dans un modèle fondé sur une liste de contrôle, la conformité signifie que vous avez accompli les tâches requises. Vous avez respecté la norme et êtes passé à autre chose.

Dans un modèle axé sur la résilience, le succès se déplace. Cela dépend de vos performances en situation de stress réel.

Phil a expliqué que les hypothèses échouent souvent en cas de crise. La rapidité et l'efficacité de la réaction de votre équipe témoignent de votre véritable état de préparation.

Comme l'a dit Phil, "tout le monde a un plan jusqu'à ce qu'on se prenne un coup dans la gueule".

Aujourd'hui, les régulateurs définissent un laissez-passer en fonction du comportement et non de la perfection. Ils attendent de vous que vous admettiez vos faiblesses, que vous présentiez des plans de remédiation pratiques et que vous fassiez preuve d'une amélioration constante. Ils veulent une discipline intégrée dans les processus quotidiens, et non des actions héroïques de dernière minute.

Les superviseurs n'attendent pas des systèmes sans faille. Ils attendent des organisations matures qui se préparent à l'avance, opèrent avec transparence et assument leurs responsabilités lorsque des lacunes apparaissent.

Le risque cybernétique est désormais un risque lié au modèle d'exploitation

Ce changement reflète une vérité plus large. Le risque cybernétique n'est plus l'apanage des services informatiques.

De nombreuses organisations placent désormais les RSSI à un niveau plus élevé dans la structure. Les conseils d'administration assument également la responsabilité directe des résultats cybernétiques.

Les régulateurs vont au-delà des cadres de contrôle. Ils examinent les modèles opérationnels, les voies de décision et la manière dont les équipes gèrent les risques dans l'ensemble de l'entreprise.

La résilience fait désormais partie des capacités essentielles de l'entreprise. Il détermine la manière dont vous planifiez, investissez et réagissez aux perturbations.

Si vous considérez la cybersécurité comme une fonction technique cloisonnée, vous aurez du mal dans cet environnement.

Si vous intégrez la résilience dans le leadership, les opérations quotidiennes, la supervision des fournisseurs et les décisions de la direction, vous serez plus fort. Vous serez mieux préparé aux régulateurs et aux incidents réels.

Écoutez l'épisode complet de The Segment : Un podcast sur le leadership sans confiance sur Apple Podcasts, Spotifyou notre site web.

Raghu Nandakumara
Vice-président, stratégie industrielle
Illumio Editorial
Février 25, 2026
23 min. lire
Banque & Services financiers
Conformité
Contactez-nous
Partager

Articles connexes

Pourquoi les fondements de la sécurité sont la partie la plus négligée de l'adoption d'une stratégie de confiance zéro ?
Cyber-résilience

Pourquoi les fondements de la sécurité sont la partie la plus négligée de l'adoption d'une stratégie de confiance zéro ?

Découvrez pourquoi les principes fondamentaux de la sécurité sont la partie la plus négligée de la confiance zéro et comment la mise en place de ces principes détermine si les brèches s'étendent ou restent contenues.

En savoir plus
Cyber-résilience
Rapport thématique 2025 du CBEST : Ce que les données révèlent sur la cyberfragilité dans les services financiers
Cyber-résilience

Rapport thématique 2025 du CBEST : Ce que les données révèlent sur la cyberfragilité dans les services financiers

Découvrez comment CBEST 2025 met en évidence la cyberfragilité cachée des institutions financières britanniques et pourquoi l'endiguement des brèches est essentiel lorsque les attaquants se déplacent librement après la compromission.

En savoir plus
Banque & Services financiers
Nouveau rapport du FinCEN sur les rançongiciels : Les banques doivent contenir le risque de matérialité
Isolation des ransomwares

Nouveau rapport du FinCEN sur les rançongiciels : Les banques doivent contenir le risque de matérialité

Découvrez le dernier rapport du FinCEN sur les ransomwares et apprenez pourquoi les banques doivent gérer le risque de matérialité et utiliser le confinement des brèches pour éviter la divulgation et les retombées.

En savoir plus
Banque & Services financiers
Isolation des ransomwares
Qu'est-ce que les critères communs et comment obtenir la certification ?
Cyber-résilience

Qu'est-ce que les critères communs et comment obtenir la certification ?

Illumio Core a obtenu une autre certification de sécurité gouvernementale importante, appelée Critères communs. Illumio est devenu le premier fournisseur de sécurité d'entreprise à être certifié par le National Information Assurance Partnership (NIAP).

En savoir plus
Aucun élément n'a été trouvé.
Davantage de cyberattaques, de paralysie de l'analyse de la confiance zéro et de sécurité de l'informatique dématérialisée
Cyber-résilience

Davantage de cyberattaques, de paralysie de l'analyse de la confiance zéro et de sécurité de l'informatique dématérialisée

Andrew Rubin, PDG et cofondateur d'Illumio, parle de la paralysie de la charge de travail et du manque de durabilité des outils de sécurité traditionnels face aux attaques catastrophiques d'aujourd'hui.

En savoir plus
Sécurité du cloud
Réponse aux incidents
Comment se prémunir contre la nouvelle vulnérabilité de sécurité du port TCP 135
Cyber-résilience

Comment se prémunir contre la nouvelle vulnérabilité de sécurité du port TCP 135

Un moyen d'exploiter le port TCP 135 pour exécuter des commandes à distance a introduit une vulnérabilité du port 445, rendant nécessaire la sécurisation du port 135 pour assurer la sécurité du TCP.

En savoir plus
Aucun élément n'a été trouvé.

Découvrez Illumio Insights dès aujourd'hui

Découvrez comment l'observabilité alimentée par l'IA vous aide à détecter, comprendre et contenir les menaces plus rapidement.
Essayez Illumio Insights